Комментарии 13
На мой взгляд название статьи немного вводит в заблуждение.
Стандарт PCI-DSS _обязывает_ производителей банкоматов и другого подобного оборудования разносить все отдельные части общей системы которые могут подвергнуться риску компрометации в отдельные модули. Например код отвечающий за проведение EMV транзакции и взаимодействие с чипом карты (NFC или контактная площадка, не важно) обязан быть вынесен в другое пространство и не выполняться на самом хосте. Это значит что и кардридер, и кассетник для работы с наличными, и ККТ с фискальником, и многие другие части не будут частью основной машины, а будут отдельными устройствами подвешенными на PCI или USB шину. Для работы с картами например в 99% случаев будет использоваться отдельное устройство, причём вся логика работы с картами будет _уже_ зашита в нём и все данные касающиеся этого никогда не будут передаваться между читалкой и хостом. На деле это означает что с компьютера внутри банкомата будут посылаться не команды «отправь карте массив байт 00A40000AABBCCDDEE00» или «прочитай массив байт из буфера куда записался ответ от карты», а «вот сформированный документ, подпиши приватным ключом и верни цифровую подпись». Т.е. позаигрывать с буферами особо не получится. В редких исключениях, в ситуациях когда подобное сильно затруднено, например в кассовых устройствах на базе android, вся эта логика будет крутиться как минимум в отдельном отгороженном со всех сторон процессе, хотя возможно и это уже запретили.
Поэтому даже скомпрометировав железку проводящую NFC взаимодействие с картой с вероятностью в 99,9% ничего дальше провернуть не получится, хотя наверняка устроить DOS в хостовой системе попробовать можно, если что-нибудь необычное отправить в сокет или на шину.
Вот заменить какие-то данные в чеке пока он находится в памяти железки общающейся с картой локально её скомпрометировав — не исключаю, такое вполне возможно, особенно зная как многие производители спешат выводить устройства на рынок, не особо оглядывая на безопасность, но для таких случаев также существует сертификация и для чипов карт, и для железок которые с ними работают. Компания производитель обязана предоставить доказательства что после разработки устройства не менее X человекочасов и Y денег было потрачено на исследование безопасности нового устройства.
Не берусь утверждать на 100%, но мне кажется что большинство упомянутых атак — возможны только гипотетически, а пример из видео в статье — вероятно как раз случай когда все звёзды сошлись. Это касса на андроиде, к которым, по крайней мере раньше, в качестве исключения применялись значительные послабления к изоляции компонентов. Т.е. взаимодействие с картой вероятно происходит через системный сервис который крутится прямо на хосте, плюс, по моему опыту, на подобных устройствах почти всегда стоят чипы от mediatek, знаменитые своими уязвимостями и сильно отстающая от актуальной версия андроида. Предполагаю что в этом конкретном случае можно нарушить правильный ход оплаты и модифицировать данные платёжного документа, вызвать DOS на устройстве, или даже воспользоваться какой-нибудь старой известной уязвимостью для локального повышения привилегий, но этот случай точно не показатель
Стандарт PCI-DSS _обязывает_ производителей банкоматов и другого подобного оборудования разносить все отдельные части общей системы которые могут подвергнуться риску компрометации в отдельные модули. Например код отвечающий за проведение EMV транзакции и взаимодействие с чипом карты (NFC или контактная площадка, не важно) обязан быть вынесен в другое пространство и не выполняться на самом хосте. Это значит что и кардридер, и кассетник для работы с наличными, и ККТ с фискальником, и многие другие части не будут частью основной машины, а будут отдельными устройствами подвешенными на PCI или USB шину. Для работы с картами например в 99% случаев будет использоваться отдельное устройство, причём вся логика работы с картами будет _уже_ зашита в нём и все данные касающиеся этого никогда не будут передаваться между читалкой и хостом. На деле это означает что с компьютера внутри банкомата будут посылаться не команды «отправь карте массив байт 00A40000AABBCCDDEE00» или «прочитай массив байт из буфера куда записался ответ от карты», а «вот сформированный документ, подпиши приватным ключом и верни цифровую подпись». Т.е. позаигрывать с буферами особо не получится. В редких исключениях, в ситуациях когда подобное сильно затруднено, например в кассовых устройствах на базе android, вся эта логика будет крутиться как минимум в отдельном отгороженном со всех сторон процессе, хотя возможно и это уже запретили.
Поэтому даже скомпрометировав железку проводящую NFC взаимодействие с картой с вероятностью в 99,9% ничего дальше провернуть не получится, хотя наверняка устроить DOS в хостовой системе попробовать можно, если что-нибудь необычное отправить в сокет или на шину.
Вот заменить какие-то данные в чеке пока он находится в памяти железки общающейся с картой локально её скомпрометировав — не исключаю, такое вполне возможно, особенно зная как многие производители спешат выводить устройства на рынок, не особо оглядывая на безопасность, но для таких случаев также существует сертификация и для чипов карт, и для железок которые с ними работают. Компания производитель обязана предоставить доказательства что после разработки устройства не менее X человекочасов и Y денег было потрачено на исследование безопасности нового устройства.
Не берусь утверждать на 100%, но мне кажется что большинство упомянутых атак — возможны только гипотетически, а пример из видео в статье — вероятно как раз случай когда все звёзды сошлись. Это касса на андроиде, к которым, по крайней мере раньше, в качестве исключения применялись значительные послабления к изоляции компонентов. Т.е. взаимодействие с картой вероятно происходит через системный сервис который крутится прямо на хосте, плюс, по моему опыту, на подобных устройствах почти всегда стоят чипы от mediatek, знаменитые своими уязвимостями и сильно отстающая от актуальной версия андроида. Предполагаю что в этом конкретном случае можно нарушить правильный ход оплаты и модифицировать данные платёжного документа, вызвать DOS на устройстве, или даже воспользоваться какой-нибудь старой известной уязвимостью для локального повышения привилегий, но этот случай точно не показатель
Устройства на шине USB преркасно могут быть переконфигурированы в мышь/клавиатуру. PCI вообще имеет прямой доступ к физической памяти хоста через DMA. Но даже если рассадить всех «как можно дальше», оставив какие-нибудь RS232, это не избавит от багов в софте, который будет рулить центральной логикой, а значит, послав что-то очень хитро заполненное, можно добыть переполнение буфера и следовательно выполнение произвольного кода. В статье как раз говорится про цепочку эксплоитов…
Даже локальный DoS на ридеры в момент проведения массового мероприятия или в час пик на транспорте - может сам по себе принести изрядные проблемы. Как и послужить базой для социальной инженерии - "у всех не работает, а у нас работает".
К старту курса Этичный хакер
ИМХО с названием курса явный перебор. Слово «хакер» ассоциируют со словом «взломщик». Что видно и из данной статьи. Так же сомнительно будут звучать названия «Этичный взломщик» или «Этичный киллер». В статье есть нужное название «пентестер». ИМХО не надо путать два противоположных термина. Хакеру, чтобы взломать банкомат, нужно озаботиться уходом от возможного задержания — у банкомата м.б. «мышеловка». У взломщика может быть группа поддержки с оружием, а может топорик под курткой. Нужно изменить внешность для видеонаблюдения. И т.д. Тестеру это не нужно, Вы собираетесь учить тестеров боевым и воровским приемам? Но от тестера ждут детальный отчет о найденных багах и, желательно, рекомендации по их устранению. Взломщику не нужно писать отчет.
PS Такой "этике" Ваш курс будет учить?:
«Недоверие к власти — поощрение децентрализации».
Лучший способ содействовать свободному обмену информацией — это открытая система, в которой нет границ между хакером и частью информации или оборудованием, которые необходимы ему в поисках знаний, совершенствования и времени в режиме онлайн. Хакеры считают, что бюрократия, будь то корпоративная, правительственная или университетская, является несовершенной системой.
Минусатору нечего возвразить, но минус поставил. — Типичный троллинг. Если смотреть кому выгодно, то предполагаю, что «переводчику» этого инвалидного, скорее машинного, перевода.
Слово «хакер» ассоциируют со словом «взломщик».
В основном те, кто обсмотрелся зомбоящика и для кого один публичный деятель "завёл блох в свитере". Этот курс по любому не для них.
Смотрим вики:
И т.д. Будете утверждать, что всё немалое вики-сообщество обсмотрелось TV? А у них там ссылки на АИ и не только на TV. Между тем имеют место неоспоримые факты, что в ряде случаев взлом не только полезен, но и необходим.
Сужу по своему опыту. Когда в моей квартире заел замок, проникал туда через соседский балкон. Моя однокурсница по универу в аналогичной ситуации вызвала слесаря, который быстро и аккуратно взломал дверь.
Вот недавно на Хабре была публикация "Защищаем кибергород с PT Application Firewall: полезные правила для обнаружения хакеров" читаем там:
В разное время я взломал (кроме своей квартиры) несколько игрушек для своего удоволствия: мне показалось, что процесс начального накопления слишком затянут и я решил его ускорить. Мой взлом не нанес никому никакого вреда. И еще раз подчеркну, что взлом м.б. полезен. Я не призываю ставить знак "=" взломщик и криминал. Не призываю к закрытию журнала Хакер. Но давайте называть вещи своими именами, а не прятаться лицемерно за англицизмы. Я понимаю, что заголовок «Хакеры — герои компьютерных революций» звучит красивее, чем заголовок «Взломщики — герои компьютерных революций».
В последнее время словом «хакер» часто называют всех сетевых взломщиков, создателей компьютерных вирусов и других компьютерных преступников
И т.д. Будете утверждать, что всё немалое вики-сообщество обсмотрелось TV? А у них там ссылки на АИ и не только на TV. Между тем имеют место неоспоримые факты, что в ряде случаев взлом не только полезен, но и необходим.
Сужу по своему опыту. Когда в моей квартире заел замок, проникал туда через соседский балкон. Моя однокурсница по универу в аналогичной ситуации вызвала слесаря, который быстро и аккуратно взломал дверь.
Вот недавно на Хабре была публикация "Защищаем кибергород с PT Application Firewall: полезные правила для обнаружения хакеров" читаем там:
Они запустили сканер и оставили его на несколько минут. К моменту, когда они увидели результаты и стали раскручивать полученную уязвимость, наше правило было уже готово и вовсю отлавливало хакеров.Недвусмысленно сказано, что хакеров надо ловить! Организаторам игры взломщики помогли найти уязвимости и выработать
стратегию для случаев атак
The Standoff — это четыре дня напряженной работы, за которые мы приобрели тонну опыта. Прежде всего кибербитва — это шанс отработать навыки оперативного реагирования: выявлять реальные веб-уязвимости и мгновенно писать правила, позволяющие их закрыть. За четыре дня мы написали более 30 правил, которые помогали выявлять атакующих на первых шагах входа в инфраструктуру и уже прицельно следить за дальнейшим развитием векторов реализации рисков.
Конечно, в реальной жизни при обнаружении подобных уязвимостей самое верное — это устранять их на уровне кода приложения. Но это небыстрый процесс, поэтому оперативное написание правила, блокирующего вредоносные запросы, является важной задачей команды защиты.
В разное время я взломал (кроме своей квартиры) несколько игрушек для своего удоволствия: мне показалось, что процесс начального накопления слишком затянут и я решил его ускорить. Мой взлом не нанес никому никакого вреда. И еще раз подчеркну, что взлом м.б. полезен. Я не призываю ставить знак "=" взломщик и криминал. Не призываю к закрытию журнала Хакер. Но давайте называть вещи своими именами, а не прятаться лицемерно за англицизмы. Я понимаю, что заголовок «Хакеры — герои компьютерных революций» звучит красивее, чем заголовок «Взломщики — герои компьютерных революций».
И т.д. Будете утверждать, что всё немалое вики-сообщество обсмотрелось TV?
Нет, они описывают факт использования термина в СМИ. Своё отношение они тут не показывают.
Недвусмысленно сказано, что хакеров надо ловить!
Нет, не сказано.
Но давайте называть вещи своими именами, а не прятаться лицемерно за англицизмы.
Мы и называем. Впрочем, я не удивлюсь, если лет через 10-20 под давлением журнализдов всех мастей в словарях останется только отрицательный смысл.
Нет, они описывают факт использования термина в СМИ.По Вашему СМИ не отражают общие настроения и в IT-сфере в том числе?
Нет, не сказано.Перечитайте цитату. Она не большая. В конце слова «вовсю отлавливало хакеров». Хотите сказать, что защитники сделали бесполезное правило?
под давлением журнализдов всех мастейА кто пишет статьи на Хабре это не «журнализд» масти Хабра? Вы не «журнализд»? ;)
По Вашему СМИ не отражают общие настроения и в IT-сфере в том числе?
Если это не СМИ специализированное для IT, то нет, с гарантией ~99%.
Перечитайте цитату. Она не большая. В конце слова «вовсю отлавливало хакеров». Хотите сказать, что защитники сделали бесполезное правило?
"Вчера в кафе "Пьяная устрица" китайцы подрались с корейцами. Китайцев задержал патруль." По-вашему из этого следует, что любой китаец, неважно где был (хоть на Луне), был задержан патрулём. Извините, иначе вашу "логику" не понять.
А кто пишет статьи на Хабре это не «журнализд» масти Хабра? Вы не «журнализд»? ;)
Нет, даже не приближался.
Если это не СМИ специализированное для IT, то нет, с гарантией ~99%.
Давайте уточним Scientific American — СМИ, специализированное для IT? Там очень не хилые спецы.
И еще вопрос. Предположим какой-то женский журнал (не специализированный для IT) получил письмо читательницы: мой сын восьмиклассник гордо называет себя хакером, а я очень за него опасаюсь. Этот журнал попросит Вас написать ответ читательнице. Вы согласитесь? Думаете подобные случаи редкость? И что в подобных случаях СМИ, не специализированное для IT, не обращается за помощью к спецам? Даже за консультацией?
Сфера IT не изолирована от других сфер, есть много пересечений. А значит, некоторые проблемы IT являются и проблемами не IT-сфер. И значит в этих сферах будут обсуждать эти проблемы, несмотря на то, что Вам это не нравится. Это закономерно и спорить с этим равно спору с законом всемирного тяготения.
Такие обсуждения будут оказывать влияния на все сферы — и на IT в том числе.
«Вчера в кафе „Пьяная устрица“ китайцы подрались с корейцами. Китайцев задержал патруль.» По-вашему из этого следует, что любой китаец, неважно где был (хоть на Луне), был задержан патрулём. Извините, иначе вашу «логику» не понять.
И Вы меня извините — не понял Вашу «логику»: шел дождь и 2 студента, один в пальто, другой в кино. Мы здесь вроде обсуждаем идеологию хакерского движения, по нему есть манифесты (Jargon File, Дзен программирования и т.д.). А в Китае своя идеология (Мао).
Нет, даже не приближалсяСм. вики:
A journalist is an individual trained to collect/gather information in form of text, audio or pictures, processes them to a news-worth form and disseminates it to the public.Вы целых 2 статьи на Хабре написали. Чем эта Ваша деятельность отличается?
PS Вспомнил старый анекдот о необходимом взломе.
В начале рабочего дня секретарша директора срочно вызывает слесаря и просит взломать сейф, т.к. она потеряла ключ, а там нужные бумаги, которые шеф может срочно потребовать.
— Но должен быть запасной ключ, — говорит слесарь, — где он?
— В с-е-й-ф-е! — отвечает рыдающая секретарша.
В начале рабочего дня секретарша директора срочно вызывает слесаря и просит взломать сейф, т.к. она потеряла ключ, а там нужные бумаги, которые шеф может срочно потребовать.
— Но должен быть запасной ключ, — говорит слесарь, — где он?
— В с-е-й-ф-е! — отвечает рыдающая секретарша.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Уязвимости NFC позволяют взломать банкомат, просто взмахнув смартфоном